Q Qualys. 


Qualys WAS の Jenkins プラ グイ ン 


Qualys WAS の Jenkins プラ グイ ン を 使用 する と 、DevOps チー ム は 、 ア プリ ケー ショ ン の 脆弱 性 スキ ャ ン を 既存 の 
CICD プロ セス に 構築 する こと が で きま す 。 この 方 法 で スキ ャ ン を 統合 する と 、 アプ リケーション の セキ ュ リ ティ テス ト 
を SDLC (シス テム 開発 ライ フサ イク ル ) の 早い 段階 で 実施 し 、 セ キュ リティ の 欠陥 を 検出 し て 除去 で きま す 。 


説明 項目 : プラ グイ ン の イン スト ー ル | プラ グイ ン の 設定 | Qualys API 資格 情報 の 保護 


プラ グイ ン の イン スト ー ル 


Qualys WAS の Jenkins プラ グイ ン を お 使い の Jenkins イン スタ ンス に イン スト ー ル する に は 、 まず 、 Qualys か ら プ ラ 
グイ ン を ダウ ン ロ ー ド する 必要 が あり ます 。 プラ グイ ン の 形式 は .hpi ファ イル で す 。 この ファ イル は 、 
https://community.qualys.com/community/web-application-scanning の 「Top Resources」 に あり ます 。 


この 時 点 で 、 プ ラグ イン は 、Jenkins 内 の 「Available」 タ ブ に も https://plugins.jenkins.io/ の プラ グイ ンス ト ア に も リス ト 
表示 され て いま せん 。 


.hpi ファ イル を 取得 し た ら 、 Jenkins の イン スタ ンス に ログ イン し 、「Manage Jenkins」 を クリ ッ ク し ます 。 


Jenkins 


信 New item 


あ People 


有 Buid History 

。 Manade JenKins < 
起 My Views 

族 、Credentials 


画 New View 


次 に 、「Manage Plugins」 を クリ ッ ク し ます 。 


uonngure tools, tneir I0CatIOTS nd automatic InStaIIGI 


§ 


Reload Configuration from Disk 
Discard all the loaded data in memory and reload evel 


Manaae Plugins 
Add. remove. disable or enable pluqins that can exter 


上 , す 4%) 


System Information 
Displays various environmental information to assist ti 


! 
| 
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「Advanced」 タ ブ を 選択 し ます 。 


gO 


Updates Available Installed Advanced 


Install 


ダウ ン ロ ー ド し た .hpi ファ イル を 選択 し 、 「Upload」 ボ タン を クリ ッ ク し ます 。 


Upload Plugin 


You can upload a .hpi file to install a plugin from outside the central pluqin repository. 


se.… | No file selected. 


Upload i 


「Success」 と いう メッ セー ジ が 表示 され て いる こと を 確認 し ます 。 「Go back to the top page」 リ ンク を クリ ッ ク し ます 。 


Installing Plugins/Upgrades 


Preparation 
QualysWASPlugin の Success 


Go back to the to & 
ビー 


(you can start using the installed plugins riqht away) 


上 Restart Jenkins when installation is complete and no jobs are runnind 


これ で イン スト ー ル が 完了 し まし た 。 その まま プラ グイ ン の 設定 に 進み ます 。 


最初 に 、 プ ラウ ザ で プロ キシ を 有効 化す る 必要 が あり ます 。 次 に 、 プ ロキ シ を 有効 化し た プラ ウザ で 、RESTful API 
サー ビス を リク エス ト し ます (下記 参照 )。 
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プラ グイ ン の 設定 


アプ リケーション の パイ プラ イン プロ ジェ クト を 開き 、「Pipeline Syntax」 を クリ ッ ク し て Snippet Generator を 開き ます 。 


Jenkins Acme Application 


盆 Back to Dashboard 
り 、 Status 


= Changes 


&) Build Now 


Q Delete Pipeline 
be Configure 


dL Full Stage View ンプ 
@) Pipeline Syntax 


ドロ ッ プ ダウ ン メ ニュ ー か ら 、「qualysWASScan」 を 選択 し ます 。 


Overview 


This Snippet Generator will help you learn the Pipeline Script code which can be used to define various steps. 
Pick a step you are interested in from the list, configure it, click Generate Pipeline Script. and you will see a 
Pipeline Script statement that would call the step with that configuration. You may copy and paste the whole 
statement into your script, or pick up just the options you care about. (Most parameters are optional and can be 
omitted in your script, leaving them at default values.) 


= ニー 4 


Sample Step qualysWASScan- Scan web application with Qualys WAS マン 


これ で プラ グイ ン を 設定 する 準備 が 整い まし た 。 最初 に 、Jenkins が WAS API 経由 で Qualys クラ ウド プラ ッ ト 
フォ ー ム と 通信 で きる こと を 確認 し ます 。 アク ティ ブ な Qualys WAS サブ スク リプ ショ ン の 有効 な アカ ウン ト 資 格 情 報 
が 必要 で す 。 アカ ウン ト で は 、API アク セス が 有効 化 さ れ て お り 、 必要 な パー ミッ ショ ン が すべ て 割り 当て られ た 
ロー ル が 付与 され て いる 必要 が あり ます 。 Qualys で は 、 API アク セス の み に 制 限 さ れ た サー ビス アカ ウン ト (UI アク 
セス は な し ) を 使用 し 、 最低 限 の 権限 を 持つ こと を 推奨 し て いま す 。 


Qualys API サー バ ベ ー ス の URL を 入力 し ます 。 ここ で 入力 する URL は 、 組 織 が 使用 し て いる Qualys プラ ッ ト 
フォ ー ム に よっ て 異な り ま す ( 詳 細 は こち ら を ご 覧 くだ さい ) 。 


お 使い の Jenkins イン スタ ンス で ダイ レク トイ ンタ ーネット アク セス が で き な い た め プ ロキ シ が 必要 な 場合 は 、「Use 
Proxy Settings」 チ ェ ッ クボ ックス を クリ ッ ク し 、 必要 な 情報 を 入力 し ます 。 


WAS API の 認証 に 必要 な ユー ザ 名 と パス ワー ド を 入力 し 、 「Test Connection」 ボ タン を クリ ッ ク し ます 。 
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API Login 
Prowde details for accessing the Qualys WAS API. 


API Server URL- https-//qualysapi_qualys.com © 
Example: https:/qualysapi.qualys.Com. (Refer WAS API User Guide for more information) 
API Username: testx_ab12 © 
API Password: 
の の の の の の の の の の の の の の © 


Use Proxy Settings 
Connection test successful! TestC ti 


サブ スク リプ ショ ン の 正しい URL を 入力 し 、 資 格 情報 が 有効 で あや れ ば 、「Connection test successful! 」 と いう メッ 
セー ジ が 表示 され ます 。 

次 に 、 Web アプ リケーション の ID を 入力 し ます 。 これ は 、Qualys WAS で この アプ リケーション に 関連 付け られ て い 
る TID で す 。 


Launch Scan API Parameters 
Prowde API parameters required to call LaunchScanAPI 


Web App ID ee © 
This can be obtained by viewing the web application in WAS (Asset Details tab) 


Web App Name ‘BigTex - WebGoat 
Web App URL ThttpJIOwaSpbDwaWWebGoaWattack?action=Looin' 


Scan Name [iob_namel_jenkins_buiid [build number] © 
Scan Type VULNERABILITY | © 


「Web App ID」 フ ィ ー ル ド の 外側 を クリ ッ ク す る か タブ で 移動 する と 、 API 呼び 出し が 実行 され て 、 入 力 さ れ た ID の 
Web アプ リケーション 名 と Web アプ リケーション URL が 取得 され ます 。 その 名 前 と URL が 正しい こと を 確認 し ま 


す 。 


デフ ォ ル ト で は 、 WAS スキ ャ ン 名 は 次 の よう に な り ま す 。 
[job name] jenkins build [build number] + timestamp 


スキ ャ ン 名 は 必要 に 応じ て 編集 で きま す が 、 タイ ム ス タ ン プ は 必ず 自 働 的 に 追加 され ます 。 


検出 スキ ャ ン の 実行 また は 脆弱 性 スキ ャ ン の 実行 を 選択 で きま す 。 デ フォ ルト は 脆弱 性 スキ ャ ン で す 。 
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次 に 、 オ プシ ョ ン の スキ ャ ン パ ラメ ー タ を 設定 し ます 。 


Optional Parameters 


Provide Optional AP| parameters required to call LaunchScanAPI 


Authentication Record | None ン © 


Option Profile Use Default v © 


"i 


Cancel Options 


Authentication Record - 認証 な し の スキ ャ ン ( デ フォ ルト ) の 実行 を 選択 で きま す 。 た だ し 、 こ の 場合 、 ス キャ ナ は 、 
Web アプ リケーション に ログ イン し て 、 アプ リケーション の 認証 サー フェ スエ リア を テス ト す る こと は で きま せん の で 注 
意 し て くだ さい 。 「Use Default」 を 選択 する と 、 WAS の Web アプ リケーション の デフ ォ ル ト の 認証 レコ ー ド が 使用 さ 
れ ま す ( あ る 場合 )。 また 、 必要 に 応じ て 、 特定 の 認証 レコ ー ド ID を 入力 する こと も で きま す 。 


ua 


Option Profile - オプ ショ ンプ ロフ ァイル に は 、 テ スト 対象 (検出 範囲 ) と すべ き 脆 弱 性 タイ プ 、 スキ ャ ン 強 度 、 エ ラー 
し きい 値 な ど 、 さ ま ざ ま な スキ ャ ン 設 定 が 含ま れ ま す 。 「Use Default」 を 選択 する と 、 WAS の Web アプ リケーション 
の デフ ォ ル ト の オプ ショ ンプ ロフ ァイル が 使用 され ます 。 これ が 推奨 され る 設定 で す 。 た だ し 、 必要 に 応じ て 、 特定 
の オプ ショ ンプ ロフ ァイル ID を 入力 する こと も で きま す 。 


Cancel Options - デフ ォ ル ト で は 、 ス キャ ン は キャ ン セ ル さ れ ま せん 。 スキ ャ ン は 完了 する まで 実行 され ます 。 た だ し 、 
指定 し た 時 間 の 経過 後に スキ ャ ン を キャ ン セ ル す る よ 2 う 選択 する こと も で きま す 。 スキ ャ ン が 終了 前 に キャ ン セ ル さ 
れる と 、 結果 は 一 切 取得 され ませ ん の で 注意 し て くだ さい 。 


次 に 、「Generate Pipeline Script」 を クリ ッ ク し ます 。 これ は 、 WAS スキ ャ ン を 開始 する た め の パ イプ ライ ンス ニ ペ ッ ト 
で す 。 


Generate Pipeline Script ee 


qualysWASScan apiPass: "gEEEOE. 3 pi Server: https-//qualysapi.qualys.conm', apiUser: testx_ab1Z7, authRecord: 'none’, 
authRecordld: ". cancelHours: "1, cancelOptions: ‘none', optionProfile: 'useDefault. optionProfileld: 242322'. proxyPassword: ". 
proxyServer: ". proxyUsername: ", scanName: lob_name] jenkins_build [build number], scanType: VULNERABILITY'. webAppld: 
"132732429 


これ で 、 パイ プラ イン スニ ペッ ト を パイ プラ イン スク リプ ト に プラ グイ ン す る 準備 が で きま し た 。 スク リプ ト に Qualys 
API 資格 情報 を 表示 し な いよ うに する に は 、 次 の 項 の 手順 に 従い ます 。 


Qualys Web アプ リケーション スキ ャ ン 5 


プロ ジェ クト 設定 で 、 「Pipeline」 を クリ ッ ク し ます 。 
General Build Triggers Advanced Project Options 


Pipeline name Acme Application 


「QualysWASscan」 (また は 同様 の 名 前 ) と いう 新しい ステ ー ジ を 作成 し ます 。 次 の 項 の ヨ 


Pipeline マデ ーー 


E 順 に 従っ て API 資格 情 


報 を 保護 し て か ら 、 こ この パイ プラ イン スク リプ ト に 貼り 付け ます 。 
う efnition Pipeline script “| 
Script 13~ if (isUnix()) て ^ ⑳ 

14 sh " "る て mvnHome}/bin/mvn' -Dmaven.test.failure.ignore clean package" 
15 ・ } else て 
16 bat(/ "る て mvnHome ナ Nbin\mvn" -Dmaven.test.failure.ignore clean package/ ) 
17 } 
18 } 
19 ・ stage( "Results') て 
29 Junit "**/target/surefire-reports/TEST-*.xml" 
21 archive "target/*.jar" 
22 } 
23 stage( 'OualyskASscan' ) a 
24 ・ て 
25 
26 } 
2 v 


Qualys API 資格 情報 の 保護 


Qualys で は 、Qualys API の ユー ザ 名 と パス ワー ド を 保存 する 際 は 、 付 属す る Jenkins 環境 変数 機能 を 使用 する こ 


と を 強く 推奨 し て いま す 。 これ を 使用 する と 、 パイ プラ イン スク リプ ト に 資格 情報 が 表示 され 3 


Jenkins は 、 資 格 情報 と その 他 の 機密 情報 を 変数 と し て 保存 する こと で 、 ス クリ プ ト に 開示 され な いよ うに し 
Jenkins に 資格 情報 を 保存 する に は 、 メ イン ペー ジ か ら 


JenKInS 


和信 New item 

【 People 
Buid History 
Q 


、Project Relationship 


= Check File Fingerprint 
癌 Manage Jenkins 

8 My views 

人 独 Credentials を ーー 


New View 


Qualys Web アプ リケーション スキ ャ ン 


E せ ん 。 


ます 。 


「Credentials」 を 選択 し ます 。 


「Add Credentials」 を 選択 し ます 。 


健 Back to credential domains 


@= Add Credentials 


に 


資格 情報 の タイ プ を 選択 し ます 。 Qualys WAS プラ グイ ン の 場合 、「Username with password」 を 選択 し ます 。 


Kint ツ Username with password $ 
Docker Host Certificate Authentication ーー 
SSH Username with private key | 
Secret file 『 
Secret text 
Certificate 


roosowwtd 


ID 


Description 


資格 情報 を 入力 し 、 資 格 情報 の ID を 選択 し ます 。 


Knd[ Usemamewihpasswod uh キ >s ふ s ほ bsb ほ |! キキ 5IIItsts5 う 5 や 5 や ね や ね うこ うっ 1 っ 1 っ 1 っ 1 
Scope Global (Jenkins. nodes, items, all child items, etc) 
Username 


さか 


= 


Password 


ID 


上 USer/"""*"* Username with pasSword 湊 


レコ ー ド が 追加 され る と 、 ス クリ プ ト で 使用 で きる 状態 に な り ま す 。 


「Pipeline Syntax」 を クリ ッ ク し て 、 Snippet Generator を 開き ます 。 ドロ ッ プ ダウ ン か ら 、「withCredentials : Bind 
credentials to variables」 を 選択 し ます 。 


Steps 


Sample Step withCredentials: Bind credentials to variables 
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「Bindings」 で 、「Usemame and Password (separated)」 を 選択 し ます 。 


Bindings 
Add マ 


Cerificate 
Docker client cetificate 
B SSH User Private Key 
Secret ZIP file 
Secret file 
Secret text 
Username and password (conjoined) 
Username and password (separated) 


ユー ザ 名 と パス ワー ド の 変数 名 を 入力 し ます 。 
Bindings 


Username and password (separated) 


Usermame Variable testUser 


Credentials user/****** * @5 Addv 


入力 し た ら 、「Generate Pipeline Script」 を 選択 し ます 。 次 の よう に な り ま す 。 


る © @ る @ 


Delete 


withCredentia]s( [usernamePassword(credentialsTd: 'Test Credential1s 「『!/ 
PasSwordVariable: 'testPass', usernameVariable: 'testUser' ) ] ) 


// some block 
} 


上 記 を パイ プラ イン 作成 スク リプ ト に 貼り 付け ます 。 


{ 


WAS の 生成 され た パイ プラ イン スニ ペッ ト の 変数 に アク セス する 場合 の 構文 は 、 次 の と お り で す 。 


(env.testUser) 
(env.testPass) 


WAS の 生成 され た パイ プラ イン スニ ペッ ト の Qualys API 資格 情報 を これ ら の 変数 に 置き 換え ます 。 最終 結果 は 次 


の よう に な り ま す 。 


qualySWASScan apiPass: (env.testPass), apiServer: 

'https: //qua1ysap1 . qua1yS .Com', apiUser: (env.testUser), authRecord: 
'useDefault', authRecordId: '', cancelHours: '1', cancelOptions: 'none 
optionProfile: 'useDefault', optionProfileId: '', proxyPassword: 「 リ / 
proxyServer: '', proxyUsername: '', scanName: 

'[job name] jenkins build [build number]', scanType: 'VULNERABILITY', 


webAppId: '132732429" 
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Qualys API サー バ の URL 


Qualys は 、Qualys プラ ッ ト フ ォ ー ム を 複数 提供 し て いま す 。 API リク エス ト に 使用 する Qualys API サー バ の URL 


は 、 ご 使用 の アカ ウン ト が 所 


アカ ウン ト の 場所 


属す る プラ ッ ト フ ォ ー ム に よっ て 異な り ま す 。 


API サー バ の URL 


Qualys US プラ ッ 


フォ ー ム 1 


https://qualysapi.qualys.com 


Qualys US プラ ッ 


フォ ー ム 2 


https://qualysapi.qg2.apps.qualys.com 


Qualys US プラ ッ 
Qualys EU プラ ッ 


フォ ー ム 3 
フォ ー ム 1 


https://qualysapi.qg3.apps.qualys.com 
https://qualysapi.qualys.eu 


Qualys BU プラ ッ 


ンジ ォ オー ム 2 


https://qualysapi.qg2.apps.qualys.eu 


Qualys India プラ ッ ト フ ォ ー ム 1 


Qualys プラ イベ ー ト クラ ウド 


プラ ッ ト フ ォ ー ム 


https://qualysapi.qgl1.apps.qualys.im 


https://qualysapi.<customer base url> 


Qualys API の ドキ ュ メ ント と サン プル コー ド で は 、 Qualys US プラ ッ ト フ ォ ー ム 1 の API サー バ の URL を 使 
いま す 。 アカ ウン ト が 別 の プラ ッ ト フ ォ ー ム に 所 


に 置き 換え て くだ さい 。 
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最終 更新 日 : 2018 年 4 月 2 日 


属し て いる 場合 は 、 ご 使用 の アカ ウン ト が 所 属す る サー バ の 


1] し て 
URL 


